Damien Seguy, profile picture
Téléchargé parDamien Seguy
ZIP, PDF719 vues

Epitech securite-2012.key

Le document traite de la sécurité des applications PHP et MySQL, avec un accent sur l'audit de sécurité et les bonnes pratiques pour prévenir les vulnérabilités. Il présente les méthodes de vérification, des exemples de vulnérabilités telles que les injections et le Cross-Site Scripting (XSS), ainsi que des recommandations pour sécuriser le code. Le rapport souligne également l'importance de la validation des données et des mécanismes de protection contre diverses attaques.

Intégrer la présentation

Téléchargé 24 fois
SÉCURITÉ PHP ET MYSQL Paris, France, 4 juin 2012 1
MENU DU JOUR Comment vérifier la sécurité de son application Vérification du site en production Analyse à code ouvert Rédaction d’un rapport d’audit 2
AYE’ CAPTAIN Damien Seguy damien.seguy@gmail.com Expert LAMP Directeur Technique @ bysoft China 3
QUESTIONS? Réponses?
REFERENTIELS SÉCURITÉ OWASP HIPAA PCI card industry Sarbanes-Oxley Basel II JSOX
OWASP Cod Nom Site Code e A1 Injection X A2 Cross-Site Scripting (XSS) X X A3 Broken Authentication and Session X A4 Insecure Direct Management Object References X A5 Cross-Site Request Forgery (CSRF) X X A6 Security Misconfiguration X A7 Insecure Cryptographic Storage X A8 Failure to Restrict URL Access X A9 Insufficient Transport Layer Protection X A10 Unvalidated Redirects and Forwards X
VOCABULAIRE Découverte En apprendre plus sur l’application Vulnérabilité Une faille qui permet de perturber le système Attaque Une vulnérabilité avec un objectif 7
MANTRA Valider les données en entrée Nettoyer les données Ne rien laisser trainer sur le site
VALIDER LES DONNÉES Vérifiez les variables entrantes Vérifiez les URL entrantes aussi! Vérifiez les fichiers
https://www.shacombank.com.hk/ibanking/dse/html/customer/zh_TW/ INError.jsp?errCode=2163&encoding=zh_TW&errMode=AE%22;} document.write%28%22%3Ciframe%20src=%27http://xssed.com%27%3E %22%29;%20function%20test%28%29{var%20a=%22
VÉRIFIEZ LES URLS
VÉRIFIEZ LES URLS
PROTÉGÉ PAR BROWSER? 1. <?php 2. 3. $url = "http://www.grosbill.com/4-xxxx"_-144413- tv_video-lecteur_dvd_de_salon"; 4. 5. $html = file_get_contents($url); 6. 7. print $html; 8. ?> document.write(' <iframe src="http:// www.facebook.com/plugins/like.php?href=http:// www.grosbill.com/4-xxxx"_-144413-tv_video- lecteur_dvd_de_salon&amp;send=true&amp;layout=b utton_....
INJECTION PAR GIF Prenez une image GIF, ajoutez phpinfo() Envoyez la sur le site Si tous les fichiers sont traités par PHP...
NETTOYER LES DONNÉES On a une injection quand une valeur parvient à une autre technologie que PHP, et y fait autre chose que ce qui est attendu. Toutes les injections ont la même origine :
NETTOYER LES DONNÉES On a une injection quand une valeur parvient à une autre technologie que PHP, et y fait autre chose que ce qui est attendu. Toutes les injections ont la même origine : .
NETTOYER LES DONNÉES On a une injection quand une valeur parvient à une autre technologie que PHP, et y fait autre chose que ce qui est attendu. Toutes les injections ont la même origine : .
CARACTERES SPÉCIAUX HTML : ", ', <, >, & URL : %, / Query : &, ?, = SQL : /, #, ", ' et encore Shell, XML, LDAP, Path, PDF, Javascript, header HTTP, cookies, domaines,...
METHODES DE PROTECTION HTML : htmlentities, htmlspecialchars URL : rawurlencode Query : urlencode SQL : requêtes préparées, mysql_real_escape_string.. et encore Shell, XML, LDAP, Path, PDF, Javascript, header HTTP, cookies, ...
BONNE PRATIQUE Systématisez les protections avec le framework Framework généralistes Classe maison Assurez un nettoyage minimal au retour des données Qui d’autre manipule la base de données?
APPROCHE D’AUDIT Identifiez les données entrantes Notion de variables corrompues (tainted variables) : on se méfie des variables tant qu’elles n’ont pas été validée
TRACABILITÉ $_CLEAN public function nameAction() { $request = $this->getRequest(); $validator = new Zend_Validate_Alnum();  $_CLEAN['username'] = $validator->isValid( $request->getParam('username')); } les variables locales ne sont créées qu’apres validation public function nameAction() { $request = $request->query; $validator = $this->get('validator');  $username = $validator->validate($request->get('username')) }
RETRO-TRACABILITÉ En Zend Framework, surveillez les Db:factory En Symfony, les appels à getCurrentConnection() mysql_query, pg_query. Puis, remontez à l’origine du code
STÉGANOGRAPHIE L’art de cacher les choses à la vue de tous Trouvez la tour l’une des tours les plus hautes du monde dans l’image suivante
STÉGANOGRAPHIE L’art de cacher les choses à la vue de tous Trouvez la tour l’une des tours les plus hautes du monde dans l’image suivante
STÉGANOGRAPHIE L’art de cacher les choses à la vue de tous Trouvez la tour l’une des tours les plus hautes du monde dans l’image suivante
ROBOTS.TXT http://www.pcf.fr/robots.txt
ROBOTS.TXT Empoisonnez les données Ne mettez pas seulement les dossiers à protéger Mettez des dossiers qui n’existent pas Notez les IP qui s’y connectent Vérifiez en ligne les URLs de votre site
MÊME EN ASP
MÊME EN ASP
AFFICHAGES D’ERREURS
BONNES PRATIQUES Masquez les informations sur votre systeme expose_php = off, ServerSignature Off Ayez un dossier hors Web Root Listez votre racine Web Faites la chasse aux debug : echo, print, print_r, var_dump, krumo
RAPPORT D’AUDIT Consignez vos audits Un rapport, un wiki, un log ou blog Notez les réussites et les points à améliorer Automatisez ce qui est important Integration continue, cron, scripts manuels... Faites le reste a la main, a budgeter
STRUCTURE Résumé exécutif 3 paragraphes, simples à lire Liste des vérifications réalisées et résultats (OK, KO) Détails et explications sur chaque point à améliorer
RÉSUMÉ Point sécurité Impact Probabilité Correctif XSS Important Forte Lourd Zone privée sans Moyen Toujours Faible SSL Fichiers Important Faible Faible découverts URLs mal Fort Faible Moyen protégées
DÉTAILS Titre Exemple dans le code, explications théoriques Suggestion de correction Mentionner les limitations de la correction Liste des occurrences Ou le moyen de les trouver
MERCI! damien.seguy@gmail.com http://www.slideshare.net/dseguy
A L’ABORDAGE

Contenu connexe

PPTX
Webinaire : sécurité informatique sur le web - Jérôme Thémée
parMarie Tapia
 
PDF
La sécurité et php
parChristophe Villeneuve
 
PDF
Cours Secu Web
parCedric Foll
 
PDF
La sécurite pour les developpeurs - OWF
parChristophe Villeneuve
 
PDF
PSES - La securite pour les développeurs
parChristophe Villeneuve
 
PDF
La securite pour les développeurs au RMLL 2015
parChristophe Villeneuve
 
PPTX
Securité web
parEmmanuel Gautier
 
PDF
De legacy à symfony
parEtienne Lachance
 
Webinaire : sécurité informatique sur le web - Jérôme Thémée
parMarie Tapia
 
La sécurité et php
parChristophe Villeneuve
 
Cours Secu Web
parCedric Foll
 
La sécurite pour les developpeurs - OWF
parChristophe Villeneuve
 
PSES - La securite pour les développeurs
parChristophe Villeneuve
 
La securite pour les développeurs au RMLL 2015
parChristophe Villeneuve
 
Securité web
parEmmanuel Gautier
 
De legacy à symfony
parEtienne Lachance
 

Tendances

PDF
Guide de securite php
parbelfkih
 
PDF
Créer une barre de progression grâce à PHP 5.4
par🏁 Pierre-Henry Soria 💡
 
KEY
Techdays 2010 : comment hacker PHP sans se fatiguer
parDamien Seguy
 
KEY
Rmll.securite
parDamien Seguy
 
PDF
Sécurité et Quaité de code PHP
parJean-Marie Renouard
 
PDF
Pots de Miel, Honeypot informatique - Sécurité informatique
par🏁 Pierre-Henry Soria 💡
 
Guide de securite php
parbelfkih
 
Créer une barre de progression grâce à PHP 5.4
par🏁 Pierre-Henry Soria 💡
 
Techdays 2010 : comment hacker PHP sans se fatiguer
parDamien Seguy
 
Rmll.securite
parDamien Seguy
 
Sécurité et Quaité de code PHP
parJean-Marie Renouard
 
Pots de Miel, Honeypot informatique - Sécurité informatique
par🏁 Pierre-Henry Soria 💡
 

En vedette

PPT
Uml
parVINOT Bernard
 
PDF
Cours uml
parzimamouche1
 
PPTX
Scrum@epitech
parPierre E. NEIS
 
DOC
Cv Aric Lasry Epitech
parAric Lasry
 
PPSX
Igl cours 3 - introduction à uml
parMohammed Amine Mostefai
 
PDF
Veronique Bollet
parChristianB
 
PPTX
Le Manifeste Agile
parMohammed Amine Mostefai
 
PDF
Hernandez_Remi_CV_v2
parRemi Hernandez
 
PPT
Conférence ESI
parJulien Guyard
 
PDF
Eskape - Gestion Electronique de Documents - Présentation produit ELO
parEskape
 
PDF
Livre Blanc Eskape : L'information mobile en entreprise, une nouvelle ouvertu...
parEskape
 
PDF
Journée Tourisme à la CCI Dunkerque
parChristianB
 
PDF
Cours d'Introduction à Uml
parChristophe Vaudry
 
PPT
M M M
pargnoufie24
 
PPTX
Presentacion
parLizethLorenaLoaiza
 
PDF
Plaquette de Présentation Eleganz Music&Event
parBaudouin de Mas Latrie
 
PDF
LeeManCatalogue
parKijick Lee
 
DOCX
Maestros saludables
parMa Aguirre
 
DOCX
EncuestPregunta 11
parhermesortiz1508
 
PPT
1. présentation le changement climatique bamako - 17 juin 2010 - renaat van...
parRenaat Van Rompaey
 
Uml
parVINOT Bernard
 
Cours uml
parzimamouche1
 
Scrum@epitech
parPierre E. NEIS
 
Cv Aric Lasry Epitech
parAric Lasry
 
Igl cours 3 - introduction à uml
parMohammed Amine Mostefai
 
Veronique Bollet
parChristianB
 
Le Manifeste Agile
parMohammed Amine Mostefai
 
Hernandez_Remi_CV_v2
parRemi Hernandez
 
Conférence ESI
parJulien Guyard
 
Eskape - Gestion Electronique de Documents - Présentation produit ELO
parEskape
 
Livre Blanc Eskape : L'information mobile en entreprise, une nouvelle ouvertu...
parEskape
 
Journée Tourisme à la CCI Dunkerque
parChristianB
 
Cours d'Introduction à Uml
parChristophe Vaudry
 
M M M
pargnoufie24
 
Presentacion
parLizethLorenaLoaiza
 
Plaquette de Présentation Eleganz Music&Event
parBaudouin de Mas Latrie
 
LeeManCatalogue
parKijick Lee
 
Maestros saludables
parMa Aguirre
 
EncuestPregunta 11
parhermesortiz1508
 
1. présentation le changement climatique bamako - 17 juin 2010 - renaat van...
parRenaat Van Rompaey
 

Similaire à Epitech securite-2012.key

PPTX
Introduction vulnérabilité web
pardavystoffel
 
PPTX
Durcissement de code - Sécurité Applicative Web
parCyrille Grandval
 
PDF
Introduction à la sécurité des applications web avec php [fr]
parWixiweb
 
PPTX
Securité des applications web
parMarcel TCHOULEGHEU
 
PPTX
Vulnérabilité des sites web
parSaid Sadik
 
PDF
Presentation des failles_de_securite
parBorni Dhifi
 
PPT
Failles de sécurité
parGuillaume Harry
 
KEY
Securitedesapplications 091011120426-phpapp02
parAsma Messaoudi
 
PPTX
Owasp top 10 2010 Resist toulouse
parSébastien GIORIA
 
PPTX
La Sécurité Sur Le Web
parGroupe Revolution 9
 
PDF
Securite web is_ima
parBlidaoui Abdelhak
 
PDF
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
parNormandie Web Xperts
 
PDF
Tuto atelier securisation_site_web
parsahar dridi
 
PDF
2011 02-08-ms tech-days-sdl-sgi-v02
parSébastien GIORIA
 
PDF
Hacking Open source et Sécurité, préconisations
parCertilience
 
PDF
La sécurité et php
parneuros
 
PPTX
Sécuriser mes applications avec ZF2
parCyrille Grandval
 
PDF
Hackfest @ WAQ2011
parHackfest Communication
 
PDF
OWASP Top10 2013 - Présentation aux RSSIA 2013
parSébastien GIORIA
 
PDF
Sécuriser votre projet
parneuros
 
Introduction vulnérabilité web
pardavystoffel
 
Durcissement de code - Sécurité Applicative Web
parCyrille Grandval
 
Introduction à la sécurité des applications web avec php [fr]
parWixiweb
 
Securité des applications web
parMarcel TCHOULEGHEU
 
Vulnérabilité des sites web
parSaid Sadik
 
Presentation des failles_de_securite
parBorni Dhifi
 
Failles de sécurité
parGuillaume Harry
 
Securitedesapplications 091011120426-phpapp02
parAsma Messaoudi
 
Owasp top 10 2010 Resist toulouse
parSébastien GIORIA
 
La Sécurité Sur Le Web
parGroupe Revolution 9
 
Securite web is_ima
parBlidaoui Abdelhak
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
parNormandie Web Xperts
 
Tuto atelier securisation_site_web
parsahar dridi
 
2011 02-08-ms tech-days-sdl-sgi-v02
parSébastien GIORIA
 
Hacking Open source et Sécurité, préconisations
parCertilience
 
La sécurité et php
parneuros
 
Sécuriser mes applications avec ZF2
parCyrille Grandval
 
Hackfest @ WAQ2011
parHackfest Communication
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
parSébastien GIORIA
 
Sécuriser votre projet
parneuros
 

Plus de Damien Seguy

PDF
Analyse statique et applications
parDamien Seguy
 
PDF
Tout pour se préparer à PHP 7.4
parDamien Seguy
 
PDF
Qui a laissé son mot de passe dans le code
parDamien Seguy
 
PDF
Tout sur PHP 7.3 et ses RFC
parDamien Seguy
 
PDF
Code review for busy people
parDamien Seguy
 
PDF
Review unknown code with static analysis php ce 2018
parDamien Seguy
 
PDF
Understanding static analysis php amsterdam 2018
parDamien Seguy
 
PDF
Php 7.3 et ses RFC (AFUP Toulouse)
parDamien Seguy
 
PDF
Meilleur du typage fort (AFUP Day, 2020)
parDamien Seguy
 
PPTX
Strong typing : adoption, adaptation and organisation
parDamien Seguy
 
PDF
Top 10 php classic traps confoo
parDamien Seguy
 
PDF
Everything new with PHP 7.3
parDamien Seguy
 
PDF
Review unknown code with static analysis php ipc 2018
parDamien Seguy
 
PDF
Top 10 php classic traps DPC 2020
parDamien Seguy
 
PDF
Code review workshop
parDamien Seguy
 
PDF
Strong typing @ php leeds
parDamien Seguy
 
PDF
Top 10 php classic traps php serbia
parDamien Seguy
 
PDF
Top 10 chausse trappes
parDamien Seguy
 
PDF
Top 10 pieges php afup limoges
parDamien Seguy
 
PDF
Top 10 php classic traps
parDamien Seguy
 
Analyse statique et applications
parDamien Seguy
 
Tout pour se préparer à PHP 7.4
parDamien Seguy
 
Qui a laissé son mot de passe dans le code
parDamien Seguy
 
Tout sur PHP 7.3 et ses RFC
parDamien Seguy
 
Code review for busy people
parDamien Seguy
 
Review unknown code with static analysis php ce 2018
parDamien Seguy
 
Understanding static analysis php amsterdam 2018
parDamien Seguy
 
Php 7.3 et ses RFC (AFUP Toulouse)
parDamien Seguy
 
Meilleur du typage fort (AFUP Day, 2020)
parDamien Seguy
 
Strong typing : adoption, adaptation and organisation
parDamien Seguy
 
Top 10 php classic traps confoo
parDamien Seguy
 
Everything new with PHP 7.3
parDamien Seguy
 
Review unknown code with static analysis php ipc 2018
parDamien Seguy
 
Top 10 php classic traps DPC 2020
parDamien Seguy
 
Code review workshop
parDamien Seguy
 
Strong typing @ php leeds
parDamien Seguy
 
Top 10 php classic traps php serbia
parDamien Seguy
 
Top 10 chausse trappes
parDamien Seguy
 
Top 10 pieges php afup limoges
parDamien Seguy
 
Top 10 php classic traps
parDamien Seguy
 

Dernier

PDF
Transfer Learning in Artificial Intelligence: Concepts, Methods and Applications
parCHAIMAA BENADLA
 
PDF
Kubernetes : quelle distribution choisir pour votre stratégie de conteneurisa...
parcommunication172656
 
PDF
POURQUOI LA COMMUNICATION EST UN FACTEUR CLÉ DE SUCCÈS POUR VOTRE DSI ET VOS ...
parcommunication172656
 
PPTX
2ème-Introduction à la robotique-ESP32.pptx
parasmadakhlaoui1
 
PDF
4 stratégies clés complémentaires pour une DSI modernisée et valorisée
parcommunication172656
 
PPTX
--------------La---------- nouvelle.pptx
parSAID MASHATE
 
Transfer Learning in Artificial Intelligence: Concepts, Methods and Applications
parCHAIMAA BENADLA
 
Kubernetes : quelle distribution choisir pour votre stratégie de conteneurisa...
parcommunication172656
 
POURQUOI LA COMMUNICATION EST UN FACTEUR CLÉ DE SUCCÈS POUR VOTRE DSI ET VOS ...
parcommunication172656
 
2ème-Introduction à la robotique-ESP32.pptx
parasmadakhlaoui1
 
4 stratégies clés complémentaires pour une DSI modernisée et valorisée
parcommunication172656
 
--------------La---------- nouvelle.pptx
parSAID MASHATE
 

Epitech securite-2012.key

  • 1.
    SÉCURITÉ PHP ET MYSQL Paris, France, 4 juin 2012 1
  • 2.
    MENU DU JOUR Commentvérifier la sécurité de son application Vérification du site en production Analyse à code ouvert Rédaction d’un rapport d’audit 2
  • 3.
    AYE’ CAPTAIN Damien Seguy damien.seguy@gmail.com Expert LAMP Directeur Technique @ bysoft China 3
  • 4.
    QUESTIONS? Réponses?
  • 5.
  • 6.
    OWASP Cod Nom Site Code e A1 Injection X A2 Cross-Site Scripting (XSS) X X A3 Broken Authentication and Session X A4 Insecure Direct Management Object References X A5 Cross-Site Request Forgery (CSRF) X X A6 Security Misconfiguration X A7 Insecure Cryptographic Storage X A8 Failure to Restrict URL Access X A9 Insufficient Transport Layer Protection X A10 Unvalidated Redirects and Forwards X
  • 7.
    VOCABULAIRE Découverte En apprendre plus sur l’application Vulnérabilité Une faille qui permet de perturber le système Attaque Une vulnérabilité avec un objectif 7
  • 8.
    MANTRA Valider les donnéesen entrée Nettoyer les données Ne rien laisser trainer sur le site
  • 9.
    VALIDER LES DONNÉES Vérifiezles variables entrantes Vérifiez les URL entrantes aussi! Vérifiez les fichiers
  • 12.
    https://www.shacombank.com.hk/ibanking/dse/html/customer/zh_TW/ INError.jsp?errCode=2163&encoding=zh_TW&errMode=AE%22;} document.write%28%22%3Ciframe%20src=%27http://xssed.com%27%3E %22%29;%20function%20test%28%29{var%20a=%22
  • 13.
  • 14.
  • 15.
    PROTÉGÉ PAR BROWSER? 1.<?php 2. 3. $url = "http://www.grosbill.com/4-xxxx"_-144413- tv_video-lecteur_dvd_de_salon"; 4. 5. $html = file_get_contents($url); 6. 7. print $html; 8. ?> document.write(' <iframe src="http:// www.facebook.com/plugins/like.php?href=http:// www.grosbill.com/4-xxxx"_-144413-tv_video- lecteur_dvd_de_salon&amp;send=true&amp;layout=b utton_....
  • 16.
    INJECTION PAR GIF Prenezune image GIF, ajoutez phpinfo() Envoyez la sur le site Si tous les fichiers sont traités par PHP...
  • 17.
    NETTOYER LES DONNÉES On a une injection quand une valeur parvient à une autre technologie que PHP, et y fait autre chose que ce qui est attendu. Toutes les injections ont la même origine :
  • 18.
    NETTOYER LES DONNÉES On a une injection quand une valeur parvient à une autre technologie que PHP, et y fait autre chose que ce qui est attendu. Toutes les injections ont la même origine : .
  • 19.
    NETTOYER LES DONNÉES On a une injection quand une valeur parvient à une autre technologie que PHP, et y fait autre chose que ce qui est attendu. Toutes les injections ont la même origine : .
  • 20.
    CARACTERES SPÉCIAUX HTML : ",', <, >, & URL : %, / Query : &, ?, = SQL : /, #, ", ' et encore Shell, XML, LDAP, Path, PDF, Javascript, header HTTP, cookies, domaines,...
  • 21.
    METHODES DE PROTECTION HTML :htmlentities, htmlspecialchars URL : rawurlencode Query : urlencode SQL : requêtes préparées, mysql_real_escape_string.. et encore Shell, XML, LDAP, Path, PDF, Javascript, header HTTP, cookies, ...
  • 22.
    BONNE PRATIQUE Systématisez lesprotections avec le framework Framework généralistes Classe maison Assurez un nettoyage minimal au retour des données Qui d’autre manipule la base de données?
  • 23.
    APPROCHE D’AUDIT Identifiez lesdonnées entrantes Notion de variables corrompues (tainted variables) : on se méfie des variables tant qu’elles n’ont pas été validée
  • 24.
    TRACABILITÉ $_CLEAN public functionnameAction() { $request = $this->getRequest(); $validator = new Zend_Validate_Alnum();  $_CLEAN['username'] = $validator->isValid( $request->getParam('username')); } les variables locales ne sont créées qu’apres validation public function nameAction() { $request = $request->query; $validator = $this->get('validator');  $username = $validator->validate($request->get('username')) }
  • 25.
    RETRO-TRACABILITÉ En Zend Framework,surveillez les Db:factory En Symfony, les appels à getCurrentConnection() mysql_query, pg_query. Puis, remontez à l’origine du code
  • 26.
    STÉGANOGRAPHIE L’art de cacherles choses à la vue de tous Trouvez la tour l’une des tours les plus hautes du monde dans l’image suivante
  • 27.
    STÉGANOGRAPHIE L’art de cacherles choses à la vue de tous Trouvez la tour l’une des tours les plus hautes du monde dans l’image suivante
  • 28.
    STÉGANOGRAPHIE L’art de cacherles choses à la vue de tous Trouvez la tour l’une des tours les plus hautes du monde dans l’image suivante
  • 38.
  • 40.
    ROBOTS.TXT Empoisonnez les données Ne mettez pas seulement les dossiers à protéger Mettez des dossiers qui n’existent pas Notez les IP qui s’y connectent Vérifiez en ligne les URLs de votre site
  • 41.
  • 42.
  • 43.
  • 44.
    BONNES PRATIQUES Masquez lesinformations sur votre systeme expose_php = off, ServerSignature Off Ayez un dossier hors Web Root Listez votre racine Web Faites la chasse aux debug : echo, print, print_r, var_dump, krumo
  • 45.
    RAPPORT D’AUDIT Consignez vosaudits Un rapport, un wiki, un log ou blog Notez les réussites et les points à améliorer Automatisez ce qui est important Integration continue, cron, scripts manuels... Faites le reste a la main, a budgeter
  • 46.
    STRUCTURE Résumé exécutif 3 paragraphes, simples à lire Liste des vérifications réalisées et résultats (OK, KO) Détails et explications sur chaque point à améliorer
  • 47.
    RÉSUMÉ Point sécurité Impact Probabilité Correctif XSS Important Forte Lourd Zone privée sans Moyen Toujours Faible SSL Fichiers Important Faible Faible découverts URLs mal Fort Faible Moyen protégées
  • 48.
    DÉTAILS Titre Exemple dans lecode, explications théoriques Suggestion de correction Mentionner les limitations de la correction Liste des occurrences Ou le moyen de les trouver
  • 49.
  • 50.

Notes de l'éditeur